防不胜防！USB攻击方式大汇总

研究人员发现了使用USB设备来入侵用户计算机的29种方式，并依据攻击实施的方式将这29种利用方法划分为4类。

1:对USB设备的内部微控制器进行重新编程。这种设备看起来有点像某种USB设备，但是执行的功能却是其他的设备。

2:对USB设备的固件进行重新编程，来执行恶意行为，比如恶意文件下载、数据泄露等。

3:不对USB设备固件重新编程，但是会利用操作系统与USB协议和标准交互的漏洞。

4:基于USB的电力攻击。

USB攻击

对内部微控制器重新编程的USB攻击

1) Rubber Ducky -2010年发布的商业键盘按键注入攻击平台。一旦连接到主机，Rubber Ducky会伪装成电脑病注入预加载的按键序列。

2) PHUKD/URFUKED攻击平台。与Rubber Ducky类似，但是允许攻击者选择注入恶意按键序列的时间。

3) USBdriveby –通过模拟USB键盘和鼠标的操作几秒钟内就可以在解锁的OS X主机上安装后门并覆盖原来的DNS设置。

4) Evilduino – 与PHUKD/URFUKED类似，但使用的是Arduino微控制器而不是Teensy。也是通过模拟键盘、鼠标操作，根据预加载的脚本向主机发送键盘输入或者鼠标移动操作。

5) Unintended USB通道- 基于Unintended USB通道利用USB硬件木马可以窃取用户数据，比如通过USB扬声器。

6) TURNIPSCHOOL (COTTONMOUTH-1) – NSA开发的在USB电缆植入的硬件。

7) 通过USB大容量存储发起的RIT攻击- 当USB大容量存储设备连接到受害者电脑时，会改变文件的内容。

8) 对无线USB电子狗的攻击。记录和解密微软RF无线键盘的输入数据。

9) 修改默认网关。用微控制器来欺骗USB以太网适配器来覆盖原来的DHCP设置并劫持本地流量。

恶意修改USB固件的攻击

10) 基于智能手机的HID攻击。恶意驱动与安卓USB设备API交互，模拟连接到手机的鼠标和键盘设备。

11) 通过修改USB固件的DNS覆写。研究人员修改了USB闪存驱动并用来模拟USB以太网适配器，然后劫持本地流量。

12) 通过修改USB固件模拟键盘。通过修改USB固件，攻击者可以注入键盘注入。

13) 隐藏的分区补丁。研究人员证明了USB闪存驱动如何被重编程，并像正常的驱动一样工作，创建不能被格式化的隐藏分区，这样就可以进行数据泄露。

14) 密码保护绕过补丁。对USB闪存驱动固件的修改，允许攻击者绕过USB闪存驱动的密码保护。

15) 虚拟机攻破。研究人员使用USB固件来打破虚拟机环境。

16) 引导区病毒。研究人员用USB闪存驱动在启动器感染计算机。

17) iSeeYou – 对苹果内部iSight网络摄像头固件的重编程，这样攻击者就可以在不触发LED指示器警告的情况下获取视频（POC程序）。

不重编程的USB设备攻击

18) CVE-2010-2568 ，Stuxnet和Fanny恶意软件使用的LNK利用。

19) USB Backdoor into Air-Gapped Hosts - Fanny恶意软件使用的攻击方式，由NSA Equation group开发。攻击使用USB隐藏存储空间存储air-gapped network中预设的命令。网络中的信息随后保存会USB闪存驱动中的隐藏存储中。

20) 隐藏在USB大存储设备中的数据。隐藏恶意软件或窃取的数据到USB闪存驱动中的技巧和方法，包括把数据存储在正常分区之外、把文件隐藏在不可见的文件夹中。

21) 自动运行利用。根据主机配置的情况，一些计算机会自动执行位于USB设备存储中的预定义的文件，整个恶意软件分类叫做autorun恶意软件。

22) 冷启动攻击，也叫RAM dump attack。攻击者可以在USB闪存驱动中安装一个内存dumper，这样就可以提取RAM中的所有数据。

23) 缓冲区溢出攻击。当USB设备插入计算机中，许多攻击都是利用OS缓存区溢出。因为USB设备插入设备后，操作系统会枚举设备和函数。

24) 驱动更新。这是当USB设备插入后，通过获取VeriSign Class 3证书，并提交给微软的复杂的攻击方式。这种攻击虽然理论上是可行的，但是实际操作起来太复杂。

25) 设备固件更新Device Firmware Upgrade (DFU) – DFU是USB标准支持的一个合法进程，攻击者可以利用DFU来将本地的合法固件升级为恶意固件。

26) USB Thief，ESET发现的一款基于USB闪存驱动的数据窃取恶意软件。

27) 通过USB端口攻击智能手机。攻击者通过USB充电器隐藏和传递恶意软件。

28) USBee攻击。使USB连接器的数据总线发出电磁信号，这可被用来泄露数据。电力攻击。

29) USB Killer，当插入USB设备后，会触发电力超载，会对设备造成永久性的破坏。

通过USB的攻击方式如此之多，研究人员认为USB设备应该被禁止，至少应该严格控制在安全的网络中。